在
企业内网
管理过程中笔者接触过很多
网络管理员都针对IP
地址分配问题抱怨过,一般来说为了合理有效的管理内网IP地址信息企业管理者都会尽量
选择DHCP这种为客户机提供
自动分配地址的方式,一方面客户员工计算机连接后
配置更简单,另一方面由于DHCP地址池以及租约的存在使得内
网管理更加有据可依。出现
安全问题时可以在第一时间发现
故障根源。然而在实际使用中总有人捣乱,妄图通过手工
设置IP地址的
方法来
上网。那么有没有办法可以强制客户端计算机必须使用DHCP自动获得方式取得IP等地址才能够顺利上网呢?答案是肯定的,今天就请各位跟随笔者一起领教网管支招强制采取DHCP上网。
一,DHCP环境下手工上网简介
DHCP
服务能够自动为连接到网络的计算机提供包括IP地址,子网掩码,网关地址以及DNS
服务器地址等信息,通过DHCP分配后我们的客户机应该可以顺利上网。不过在DHCP环境下如果客户机不将网络参数设置为“自动获得地址”方式而是手工指定上述地址信息的话,如果设置得和DHCP服务器分配一致并正确的话,客户机依旧可以正常上网。
正因为这种问题的存在造成一些非法
入侵者或者并没有
权限的
用户,甚至是某些想要捣乱的人会采取手工设置地址的方法来连接到企业内网中。轻者造成IP地址冲突问题带来其他机器的上网故障,重者会带来内网不安全问题,出现问题后无法快速定位
攻击发动者。当企业内网某计算机被外部网络入侵制作成肉鸡时这种手工设置地址联网带来的问题将变得更加明显。
那么有没有办法可以强制客户端计算机必须使用DHCP自动获得方式取得IP等地址才能够顺利上网呢?答案是肯定的,今天就请各位跟随笔者一起领教网管支招强制DHCP上网。
二,网管支招强制DHCP上网的思路
网管支招强制DHCP上网的思路来自于网络厂商,不管是华为3C0M公司还是CISCO厂商,他们都针对强制DHCP上网提供了相应的
技术支持。对于
Cisco公司的产品来说我们可以通过dhcp-snooping和Dynamic ARP Inspection来完成;对于华为3COM来说通过ip-snooping技术也可以有效
解决。
华为的dhcp snooping在dhcp server发回ACK报文后,生成绑定表,可选择检查以下信息,通过检查这些报文
数据达到了强制DHCP上网的目的。――
(1)dhcp报文内client hardware address与报文源MAC是否匹配。
(2)arp报文senderip和sendermac与绑定表是否匹配。
(3)IP报文SIP和SMAC是否与绑定表匹配。
(4)检查dhcp续租时client发出的request报文,检查绑定表内续租ip对应的SMAC与报文SMAC是否匹配。
Cisco的dhcp snooping可以防止非法dhcp服务器的建立,并且可以根据相关参数生成一个ip-mac-port的一个绑定表,然后可以根据这个表检查所有的arp包是否合法,用来避免arp攻击,同时也可以一般方式私设ip。说白了经过ip-mac-port绑定后在相应客户端上网时一方面可以通过DHCP获得地址信息,另一方面在手工设置时也不能随意添加地址,必须使用ip-mac-port绑定表中的IP地址作为自己的上网地址,这样的策略实际上限制了手工设置IP的地址信息,解决了上文提到的种种安全和管理问题。
总之这些技术的实现思路就是通过检查流经
端口数据包的信息,分析该数据中是否有明确的DHCP标识,如果没有相应的标识那就可以确定源地址是通过手工设置上网的,通过过滤技术和策略
命令可以实现数据包的丢弃,从而阻止了采取手工设置IP地址方式上网客户端的正常联机。
三,实战强制采取DHCP上网
接下来笔者举两个例子来说明如何在
路由 交换
设备上开启相关的策略与功能,让内网管理强制采取DHCP方式上网。
(1)Cisco设备的设置与操作:
在Cisco设备上通过dhcp snooping技术建立ip-mac-port的一个绑定表即可阻止手工随意设置IP上网问题的发生。
第一步:首先通过configure terminal 进入路由 交换设备配置模式。
第二步:在配置模式下启用DHCP Snooping,具体指令为ip dhcp snooping。
第三步:在固定
接口或
VLAN上启用 DHCP Snooping,具体指令是ip dhcp snooping vlan XXX。
第四步:通过“interface 接口号”命令进入
交换机对应的接口。
第五步:输入ip dhcp snooping trust将接口设置为受信任端口。
第六步:设置每秒钟处理DHCP数据包上限为500个――ip dhcp snooping limit rate 500 。(如图1)
第七步:之后我们的Cisco相关设备会针对当前环境建立一个ip-mac-port三方绑定表,通过这个ip-mac-port绑定表我们可以阻止手工设置网络参数问题的发生。通过show ip dhcp snooping binding命令可以查询此绑定表信息,具体格式是00:22:09:11:33:16 192.168.1.1 3209 dhcp-snooping 103 GigabitEth ernet1/0/28,依次显示MAC地址,IP地址以及
应用的VLAN号还有对应的接口信息。
(2)华为3COM设备上的操作:
在华为3COM设备上开启dhcp snooping功能可以阻止客户端手工设置IP地址上网。具体操作如下。
第一步:设置DHCP服务器相关信息――dhcp-server 1 ip 192.168.11.2 192.168.0.25。
第二步:进入某端口――interface Vlan-interface3
第三步:为端口设置IP地址――ip address 192.168.3.254 255.255.255.0
第四步:指定该端口使用的DHCP服务器号――dhcp-server 1
第五步:强制查询连接该端口主机的IP地址设置情况,要求必须通过DHCP服务器获取IP地址信息――address-check enable,说白了就是开启dhcp snooping检查功能。(如图2)
四,总结:
强制内网客户端必须使用DHCP上网是个非常不错的管理策略,这样客户机就不能够随意越权和入侵内网了,对于企业网络管理员来说管理内网也很方便,出现问题直接查询DHCP服务器上的租约及对应地址关系即可。当然本文主要从路由交换设备下手讲解强制采取DHCP方式上网的办法,对于非Cisco和华为3COM产品来说可以参考产品说明书或询问技术支持热线了解解决办法。
注:转自IT工程师之家网站: http://bbs.gcshome.cn